Pas një pushimi të shkurtër kthehemi në NSX. Sot do t'ju tregoj se si të konfiguroni NAT dhe Firewall.
Në skedën Administratë shkoni në qendrën tuaj virtuale të të dhënave - Burimet në renë kompjuterike – Qendrat e të dhënave virtuale.
Zgjidhni një skedë Portat e skajeve dhe kliko me të djathtën në NSX Edge të dëshiruar. Në menynë që shfaqet, zgjidhni opsionin Shërbimet Edge Gateway. Paneli i kontrollit NSX Edge do të hapet në një skedë të veçantë.
Vendosja e rregullave të Firewall-it
Si parazgjedhje në artikull rregulli i paracaktuar për trafikun hyrës Është zgjedhur opsioni Deny, d.m.th. Firewall do të bllokojë të gjithë trafikun.
Për të shtuar një rregull të ri, klikoni +. Një hyrje e re do të shfaqet me emrin Rregull i ri. Redaktoni fushat e tij sipas kërkesave tuaja.
Në terren Emër jepini rregullit një emër, për shembull Internet.
Në terren Burim Futni adresat e kërkuara të burimit. Duke përdorur butonin IP, mund të vendosni një adresë IP të vetme, një sërë adresash IP, CIDR.
Duke përdorur butonin + mund të specifikoni objekte të tjera:
- Ndërfaqet e portës. Të gjitha rrjetet e brendshme (Internal), të gjitha rrjetet e jashtme (External) ose Çdo.
- Makinat virtuale. Ne i lidhim rregullat me një makinë virtuale specifike.
- Rrjetet e OrgVdc. Rrjetet e nivelit të organizatës.
- Komplete IP. Një grup përdoruesish i krijuar paraprakisht i adresave IP (i krijuar në objektin Grouping).
Në terren destinacion tregoni adresën e marrësit. Opsionet këtu janë të njëjta si në fushën Burimi.
Në terren Shërbime ju mund të zgjidhni ose të specifikoni manualisht portin e destinacionit (Portën e destinacionit), protokollin e kërkuar (Protokollin) dhe portën e dërguesit (Portën e burimit). Klikoni Mbaj.
Në terren veprim zgjidhni veprimin e kërkuar: lejo ose refuzo trafikun që përputhet me këtë rregull.
Aplikoni konfigurimin e futur duke zgjedhur Ruaj ndryshimet.
Shembuj rregullash
Rregulli 1 për Firewall (Internet) lejon hyrjen në internet nëpërmjet çdo protokolli në një server me IP 192.168.1.10.
Rregulli 2 për Firewall (Ueb-server) lejon hyrjen nga interneti nëpërmjet (protokollit TCP, porta 80) përmes adresës suaj të jashtme. Në këtë rast - 185.148.83.16:80.
Konfigurimi i NAT
NAT (Përkthimi i Adresës së Rrjetit) – përkthimi i adresave IP private (gri) në ato të jashtme (të bardha) dhe anasjelltas. Nëpërmjet këtij procesi, makina virtuale fiton akses në internet. Për të konfiguruar këtë mekanizëm, duhet të konfiguroni rregullat SNAT dhe DNAT.
E rëndësishme! NAT funksionon vetëm kur Firewall-i është i aktivizuar dhe janë konfiguruar rregullat e duhura lejuese.
Krijo një rregull SNAT. SNAT (Përkthimi i Adresës së Rrjetit të Burimit) është një mekanizëm thelbi i të cilit është zëvendësimi i adresës së burimit kur dërgohet një paketë.
Fillimisht duhet të zbulojmë adresën IP të jashtme ose gamën e adresave IP të disponueshme për ne. Për ta bërë këtë, shkoni te seksioni Administratë dhe klikoni dy herë në qendrën e të dhënave virtuale. Në menunë e cilësimeve që shfaqet, shkoni te skeda Edge Gateways. Zgjidhni NSX Edge të dëshiruar dhe kliko me të djathtën mbi të. Zgjidhni një opsion Pronat.
Në dritaren që shfaqet, në skedën Nën-Alokoni IP Pools mund të shikoni adresën IP të jashtme ose gamën e adresave IP. Shkruajeni ose mbani mend.
Tjetra, kliko me të djathtën në NSX Edge. Në menynë që shfaqet, zgjidhni opsionin Shërbimet Edge Gateway. Dhe ne jemi kthyer në panelin e kontrollit NSX Edge.
Në dritaren që shfaqet, hapni skedën NAT dhe klikoni Shto SNAT.
Në dritaren e re tregojmë:
- në fushën Aplikuar në - një rrjet i jashtëm (jo një rrjet në nivel organizate!);
- IP/gama e burimit origjinal – diapazoni i adresave të brendshme, për shembull, 192.168.1.0/24;
- IP/vargu i burimit të përkthyer – adresa e jashtme përmes së cilës do të aksesohet interneti dhe të cilën e keni parë në skedën Sub-Allocate IP Pools.
Klikoni Mbaj.
Krijo një rregull DNAT. DNAT është një mekanizëm që ndryshon adresën e destinacionit të një pakete si dhe portin e destinacionit. Përdoret për të ridrejtuar paketat hyrëse nga një adresë/port i jashtëm në një adresë IP private/port brenda një rrjeti privat.
Zgjidhni skedën NAT dhe klikoni Shto DNAT.
Në dritaren që shfaqet, specifikoni:
— në fushën Aplikuar në - një rrjet i jashtëm (jo një rrjet në nivel organizate!);
— IP/vargu origjinal – adresa e jashtme (adresa nga skeda Sub-Allocate IP Pools);
— Protokoll – protokoll;
— Porta origjinale – porta për adresën e jashtme;
— IP/gamë e përkthyer – adresa IP e brendshme, për shembull, 192.168.1.10
— Porta e përkthyer – porta për adresën e brendshme në të cilën do të përkthehet porta e adresës së jashtme.
Klikoni Mbaj.
Aplikoni konfigurimin e futur duke zgjedhur Ruaj ndryshimet.
Done.
Më pas janë udhëzimet për DHCP, duke përfshirë konfigurimin e lidhjeve DHCP dhe Relay.
Burimi: www.habr.com